Embed Size (px)
Citation preview
Rapport
État du canal de Datto Rapport sur les attaques par ransomware
À propos du rapportL’État du canal de Datto - Rapport sur les attaques par ransomware contient les statistiques d’un sondage
réalisé auprès de plus de 1400 prestataires d’infogérance (MSP), de nos partenaires et de clients dans le
monde. Le rapport donne une visibilité exceptionnelle de l’état du ransomware du point de vue du canal
informatique et des clients des PME qui traitent ces infections au quotidien. Le rapport fournit une multitude
de détails sur le ransomware, notamment les tendances sur plusieurs années, la fréquence, les cibles,
l’impact et les recommandations qui permettront d’assurer la reprise et la continuité de l’activité face à
cette menace croissante.
Pour découvrir plus en détail ce report, veuillez contacter Katie Thornton, Directrice des contenus
et programmes marketing chez Datto, Inc.
Tout sur DattoEn tant que premier innovateur du monde en matière de solutions informatiques livrées par les fournisseurs
d’infogérance (MSP), Datto est convaincu qu’il n’y a pas de limites aux résultats dont peuvent bénéficier
les petites et moyennes entreprises avec la technologie appropriée. Datto assure la continuité de l’activité
et la reprise après sinistre, la mise en réseau, la gestion des activités de l’entreprise et les solutions de
synchronisation et de sauvegarde des fichiers, tout en créant un écosystème de partenaires unique en son
genre qui fournit des solutions Datto aux entreprises autour du monde. Depuis sa création en 2007, Datto
remporte chaque année des prix pour sa croissance rapide, l’excellence de ses produits, son assistance
technique remarquable et sa promotion d’un environnement de travail exceptionnel. Datto, dont le siège
social international est à Norwalk, Connecticut, possède également des agences internationales au
Royaume-Uni, aux Pays-Bas, au Danemark, en Allemagne, au Canada, en Australie, en Chine et à Singapour.
Pour en savoir plus, consultez datto.com.
• Les ransomwares restent la principale menace parmi les
logiciels malveillants. En 2019, 85 % des MSP indiquent que
les ransomwares sont la menace la plus fréquente parmi les
logiciels malveillants pour les PME.
• Rien que pour le premier semestre 2019, 56 % des MSP
rapportent des attaques contre leurs clients. 15 % d’entre
eux rapportent plusieurs attaques par ransomware dans la
même journée.
• En moyenne, 1 PME sur 5 indique avoir été victime d’une
attaque par ransomware. C’est notamment le cas des PME
qui n’externalisent pas leurs services informatiques et courent
ainsi un plus grand risque*.
• Quand il s’agit d’évaluer la menace du ransomware, on
constate un décalage important entre les MSP et les PME.
89 % des MSP se disent « très préoccupés » par la menace
du ransomware, et 28 % signalent que les dirigeants des PME
éprouvent la même inquiétude.
• Les MSP classent les e-mails de phishing comme la cause
principale des attaques réussies. Le manque de formation en
matière de cyber sécurité, la faiblesse des mots de passe et
les mauvaises pratiques des utilisateurs sont également au
nombre des causes principales.
• Les conséquences d’une attaque par ransomware peuvent
être cauchemardesques pour n’importe quelle entreprise.
Près de la moitié des MSP rapportent que leurs clients ont
connu des durées d’indisponibilité qui menacent l’activité
de l’entreprise.
• Le montant de la rançon moyenne demandée par les pirates
informatiques est en augmentation. Les MSP rapportent que la
rançon moyenne demandée aux PME est d’environ 5 900 USD,
un chiffre en augmentation de 37 % d’une année sur l’autre.
• Les coûts d’immobilisation augmentent de 200 % en
glissement annuel, et le coût de l’immobilisation est 23 fois
plus important que la rançon moyenne demandée en 2019.
• 92 % des MSP rapportent que leurs clients ayant installé
des solutions PCA/PRA sont moins susceptibles de subir
un temps d’indisponibilité important pendant une attaque
par ransomware. 4 MSP sur 5 rapportent également que
les clients victimes de ces attaques qui utilisaient des
solutions PCA/PRA ont repris leur activité après l’attaque
en 24 heures ou moins.
*Source: Strategy Analytics’ proprietary research of the North American PME market.
3 | datto.com
Principales conclusions
Parmi les attaques par malware suivantes, lesquelles ont affecté vos clients ces deux dernières années ?
20% des MSP rapportent que les PME sont frappées par des programmes malveillants furtif18% des MSP rapportent que les PME sont frappées par des vers14% des MSP rapportent que les PME sont frappées par des enregistreurs de frappe13% des MSP rapportent que les PME sont frappées par des kits d’exploit
*Les participants au sondage pouvaient choisir plusieurs réponses.
sont frappées par des virus61%
des MSP rapportent que les PME
des MSP rapportent que les PME
sont frappées par des logiciels espions
46%
des MSP rapportent que les PME
sont frappées par un cryptominage pirate
29%
des MSP rapportent que les PME
sont frappées par un cheval de Troie d’accès distant
26%
des MSP rapportent que les PME54%
sont frappées par des logiciels publicitaires
4 | datto.com
Des malwares diversifiés ciblent les PME
En Australie et en Nouvelle-Zélande, 91 % des MSP rapportent des attaques contre les PME ces deux dernières années, soit le pourcentage le plus élevé dans le monde.
Tendance géographique
85% des attaques contre les PME ces deux dernières années
des MSP ont observé
15% plusieurs attaques par ransomware dans la même journée
des MSP rapportent
56% Rien que pour le premier semestre 2019,
des attaques contre les clients
des MSP ont observé
Parmi les menaces malveillantes affectant les PME, le ransomware
est le plus gros coupable.
5 | datto.com
Le ransomware est la menace malveillante nº 1 des PME
En moyenne, les PME qui n’externalisent pas leurs services informatiques signalent davantage d’attaques par ransomware.*
1 PME sur 5 rapporte avoir été victime d’une attaque par ransomware.*
*Source: Strategy Analytics’ proprietary research of the North American PME market.
6 | datto.com
Le rapport sur le ransomware et les PME
7 | datto.com
des MSP indiquent que les PME devraient être « très préoccupées » par la menace
On constate un décalage entre les MSP et les PME sur l’importance de la
menace du ransomware.
89%
28% des MSP indiquent que les PME sont « très préoccupées » par le ransomware
En 2019,
Sensibilisation au ransomware : PME par rapport aux MSP
Logiciels antivirus
Filtres anti-spam
Bloqueurs de fenêtres publicitaires intempestives
Plateforme de réponse et détection des points de terminaison
Les MSP rapportent que les clients ayant succombé aux ransomware avaient mis en œuvre les éléments suivants:
Les solutions traditionnelles telles que les antivirus, les filtres anti-spam et les sauvegardes de fichiers ne sont pas de taille à arrêter de nombreux cyber agresseurs. Les MSP doivent adopter une approche à plusieurs niveaux contre le ransomware, avec la continuité de l’activité au cœur de leur stratégie.
8 | datto.com
Les logiciels ransomware continuent de s’infiltrer malgré les solutions de cyber sécurité
Quelles sont les principales causes de ransomware ?
25% des MSP indiquent la crédulité/les mauvaises pratiques des utilisateurs16% des MSP indiquent des publicités ou sites Internet malveillants16% des MSP indiquent des pièges à clics (clickbait)
*Les participants au sondage pouvaient choisir plusieurs réponses.
les emails de phishing 67% of MSPs
report
le manque de formation à la cyber sécurité36% des MSP
indiquent
la faiblesse des mots de passe/de la gestion des accès30% des MSP
indiquent Le phishing, un manque de formation à la cyber sécurité des utilisateurs finaux et la faiblesse des mots de passe principales causes d’infections par ransomware.
9 | datto.com
Les PME continuent de mordre à l’hameçon
18 % des MSP indiquent une atteinte à la réputation12 % des MSP indiquent un vol de données10 % des MSP indiquent que le ransomware était resté dans leur système et avait frappé de nouveau !7 % des MSP indiquent n’avoir pas pu se mettre en conformité avec la réglementation6 % des MSP indiquent n’avoir pu remplir les exigences des accords de service sous contrat4 % des MSP indiquent le versement d’une rançon par leurs clients, mais sans récupération des données
Quelles ont été les conséquences de l’attaque par ransomware ?
*Les participants au sondage pouvaient choisir plusieurs réponses.
une perte de productivité de l’entreprise64% des MSP
indiquent
des pertes de données et/ou d’appareils34% des MSP
indiquent
une propagation des infections à d’autres appareils sur le réseau
33% des MSP indiquent
une diminution de la rentabilité du client29% des MSP
indiquent
le paiement d’une rançon par leurs clients pour la récupération des données
24% des MSP indiquent
un temps d’indisponibilité qui menace l’activité de l’entreprise
45% des MSP indiquent
Attaques par ransomware : les conséquences
B
B
B
Rançon moyenne
Coût d’immobilisation moyen
46 800 USD
2018
141 000 USD
2019
2018
4 300 USD
2019
5 900 USD
*Tous les participants à l’enquête ont répondu en USD.
Au Canada, les MSP indiquent un coût d’immobilisation moyen à 180 000 USD.
Tendance géographiqu :
Les MSP indiquent que le coût moyen des rançons a augmenté de 37 % par rapport à l’année précédente
Le coût d’immobilisation moyen par incident s’est envolé au-delà de 200 % par rapport à l’année précédente
fois supérieurs à la rançon demandée23
En matière d’attaques par ransomware, les MSP indiquent que les coûts d’immobilisation sont
11 | datto.com
Rançons et coûts d’immobilisation, une montée en flèche
17% des MSP indiquent Petya 14% des MSP indiquent CryptXXX12% des MSP indiquent notPetya11% des MSP indiquent TeslaCrypt 10% des MSP indiquent Emotet (NOUVEAU !)7% des MSP indiquent CBT Locker 7% des MSP indiquent TorrentLocker7% des MSP indiquent CrySis6% des MSP indiquent Bad Rabbit5% des MSP indiquent Wallet (NOUVEAU !)4% des MSP indiquent CoinVault*Les participants au sondage pouvaient choisir plusieurs réponses.
Pour la 4e année consécutive, les MSP indiquent que CryptoLocker est la principale
variante de ransomware responsable des attaques de leurs clients
Parmi les souches de ransomware suivantes, lesquelles ont affecté vos clients ?
00:00:35
00:00:35
WannaCry
CryptoWall
Locky
CryptoLocker66%
49%
34%
24%
des MSP indiquent
des MSP indiquent
des MSP indiquent
des MSP indiquent
12 | datto.com
CryptoLocker demeure un nom très connu
32%
*Les participants au sondage pouvaient choisir plusieurs réponses.
31% Services professionnels23 % Soins de santé20 % Finance/Assurance18 % Organisations à but non lucratif18 % Juridique15 % Vente au détail12 % Immobilier9 % Architecture/Design9 % Administration publique
Ce n’est pas surprenant que les secteurs du BTP et de la fabrication soient les principales
cibles du ransomware. Ces secteurs connaissent les flux constants des aléas de l’économie.
Une bonne part de leur travail repose pour cette raison sur des projets individuels, et les
revenus récurrents sont rares. Il leur est donc difficile d’investir dans des services et du
personnel informatiques qui demandent des honoraires mensuels.
Vince Tinnirello, Directeur général, Anchor Network Solutions, Inc
que les secteurs du BTP et de la fabrication étaient les plus ciblés par ransomware
des MSP indiquent
8 % Éducation7 % Biens de consommation6 % Voyages/Transports5 % Médias/Divertissement4 % Haute technologie4 % Énergie/Services publics2 % Télécoms11 % Autre/Aucun
13 | datto.com
Les secteurs secoués par le ransomware cette année
*Les participants au sondage pouvaient choisir plusieurs réponses.
En Europe, 10 % des MSP signalent des infections par ransomware des systèmes Android, un pourcentage supérieur à la moyenne mondiale de 5 %.
Tendance géographique :
des infections des systèmes terminaux par ransomware
89%
Sur les 89 %...
87%
des MSP signalent
11% des MSP signalent des attaques sur Windows pour tablette
7% des MSP signalent des attaques sur MacOS X
5% des MSP signalent des attaques sur Android
3% des MSP signalent des attaques sur iOS
Windows PC
des MSP signalent des attaques sur
14 | datto.com
Les systèmes terminaux de Windows sont les plus ciblés par les pirates informatiques
En Australie et en Nouvelle-Zélande, 37 % des MSP signalent des attaques sur les applications SaaS, le pourcentage le plus élevé dans le monde
Tendance géographique :
*Les participants au sondage pouvaient choisir plusieurs réponses.**Source : Strategy Analytics’ proprietary research of the North American PME market.
Les PME indiquent qu’entre 11 % et 50 % de leur infrastructure informatique est basée dans le cloud. Un chiffre qui devrait augmenter ces 3 prochaines années, pour atteindre 21 % à 75 % dans le cloud**.
47% des MSP signalent des attaques dans 18% des MSP signalent
des attaques dans
6% des MSP signalent des attaques dans Box
2% des MSP signalent des attaques dans Salesforce
des attaques par ransomware dans les applications SaaS
28% des MSP signalent
Sur les 28 % :
(contre 49 % en 2018)
64% des MSP signalent des attaques dans
15 | datto.com
Le ransomware amorce sa descente sur Office 365
Quelles méthodes avez-vous utilisées pour aider un client à reprendre son activité métier après une infection par ransomware ?
*Les participants au sondage pouvaient choisir plusieurs réponses.
16% des MSP indiquent le téléchargement d’un logiciel
spécialisé dans la reprise d’activité après un ransomware
15 % des MSP indiquent s’appuyer sur un antivirus au
point d’extrémité pour la récupération
12 % des MSP indiquent la recherche d’une clé
de déchiffrement
la virtualisation du système à partir d’une image de sauvegarde
53% des MSP indiquent
l’exécution d’un logiciel pour éliminer la menace
37% des MSP indiquent
réinstallation de l’image par défaut de la machine
69% des MSP indiquent
16 | datto.com
Les méthodes de récupération les plus courantes après une attaque par ransomware
Il est parfois difficile d’identifier la source d’une menace par ransomware ou de
savoir la durée de latence d’une menace dans un environnement donné. Nous
pensons pour cette raison que les MSP utilisent des méthodes variées pour la
reprise de l’activité métier de leurs clients au cas par cas. Les MSP d’aujourd’hui
ont besoin de plans de reprise d’activité robustes qui prennent en compte les
tactiques des différentes menaces auxquelles sont confrontés leurs clients.
Ils peuvent obtenir ce résultat en sélectionnant des fournisseurs qui offrent de
multiples options de récupération personnalisables en fonction de l’incident en
cause. Ils doivent également élaborer un plan pour garantir l’état opérationnel
sécurisé d’une sauvegarde où les menaces seraient peut-être restées à l’état
dormant depuis un certain temps.
Ryan Weeks, Responsable de la sécurité des systèmes d’information, Datto, Inc.
Plan de continuité de l’activité/plan de reprise de l’activité (PCA/PRA)
Formation des employés
Gestion des correctifs
Gestion unifiée des menaces
Solution de gestion des identités et des accès
Logiciels antivirus/antimalware
Filtres anti spam
Plateforme de gestion des points d’extrémité/des périphériques mobiles
Isolement du navigateur
Plateforme de détection et de réponse aux points d’extrémité (NOUVEAU !)
Le PCA/PRA est la solution classée nº 1 par les MSP.
Les solutions antivirus classiques ne sont efficaces que pour détecter des menaces qui
ont déjà été observées et le ransomware excelle à éviter ces moteurs de détection. Le
logiciel de réponse et de détection des points d’extrémité examine les interactions des
processus avec un système d’exploitation, et signale ou prévient les activités qui ont
l’aspect et le comportement de malware.
David Thomas, Directeur général du groupe, Bluegrass Group Ltd
18 | datto.com
Le PCA/PRA classé le plus efficace pour combattre le ransomware
Avec une solution PCA/PRA,
92%
que les clients utilisant des produits PCA/PRA sont moins susceptibles de subir un temps d’indisponibilité important après une attaque par ransomware
moins de 1 MSP sur 5 indique que les clients ont obtenu ce résultat.
Sans solution PCA/PRA,
4 MSP sur 5 indiquent que les clients ont complètement récupéré d’une attaque en 24 heures ou moins.
des MSP indiquent
19 | datto.com
La reprise d’activité après un ransomware est 4 fois plus probable avec PCA/PRA que sans
20 | datto.com
que le nombre d’attaques par ransomware restera au niveau actuel ou s’aggravera.
96% des MSP prévoient
Les MSP indiquent qu’il n’y a aucun ralentissement des ransomwares
que le ransomware ciblera les appareils IoT64%
des MSP prévoient
La conception d’un grand nombre de ces
appareils ne privilégie pas la sécurité, et
les cyberagresseurs trouveront les moyens
d’exploiter cette vulnérabilité. On prévoit 20
milliards d’appareils IoT d’ici 2020, soit autant
de points d’entrée dans les réseaux pour les
pirates informatiques.
Dale Shulmistra, CEO, Invenio IT
le ransomware saisira le contrôle d’infrastructures critiques de services publics (p. ex. : les réseaux électriques)
56% des MSP prévoient
le ransomware ciblera les comptes sur les médias sociaux
63% des MSP prévoient
le ransomware entraînera la faillite d’entreprises entières
62% des MSP prévoient
que le ransomware ciblera les utilisateurs en fonction des données démographiques
49% des MSP prévoient
Why IoT?
21 | datto.com
L’Internet des Objets (IoT) arrive en tête de liste des futures attaques par ransomware
22 | datto.com
Mais la meilleure offensive est une bonne défensive :
Les MSP qui envisagent de
contracter une cyber assurance
de responsabilité civile doivent
d’abord interroger leur agent ou la
société d’assurance qui les assure
contre les erreurs et les omissions
pour voir ce qu’ils leur proposent.
4 MSP sur 5reconnaissent que leur propre entreprise est de plus en plus la cible d’attaques par ransomware
qu’ils ont souscrit à une assurance de cyber responsabilité au cas où eux-mêmes ou leurs clients viendraient à subir une attaque par ransomware
avoir prévu une expertise externe pour les aider lors d’une attaque de grande envergure qui s’abattrait sur eux ou leurs clients
60%
50%
des MSP indiquent
des MSP indiquent
Les pirates informatiques ne ciblent pas seulement les PME…
En ces temps d’extrêmes turbulences, les MSP doivent attacher leur ceinture
et sortir les masques à oxygène. Ils doivent se protéger pour assurer la sécurité
de leurs clients. Les MSP doivent adopter une authentification à double facteur
universellement pour toute technologie qu’ils utilisent au service des clients et de
leur propre entreprise. Dans un climat où les cyber agressions sont devenues des
événements quotidiens, l’A2F dans l’ensemble des solutions technologiques assure
l’un des contrôles les plus efficaces pour réduire la probabilité d’une attaque réussie.
Ryan Weeks, Responsable principal de la sécurité de l’information, Datto, Inc.
Les MSP signalent la validation de l’authentification à double facteur (A2F) sur les outils et applications suivants :
71% Surveillance et gestion à distance (RMM)
61% Gestionnaires de mots de passe
60% Client de messagerie
58% Automatisation de services professionnels (PSA)
56% Documentation informatique
43% PCA/PRA
24 | datto.com
Les MSP valident l’A2F pour renforcer l’état de préparation contre le ransomware
Conclusions finales :
Les entreprises doivent préparer la première ligne de défense : leurs employés. Les entreprises d’aujourd’hui doivent assurer une formation régulière et obligatoire sur la cybersécurité afin que tous les employés puissent cibler et éviter le hameçonnage potentiel depuis leurs boîtes de réception (un point d’entrée privilégié par les ransomwares).
Les entreprises doivent s’appuyer sur des solutions multiples pour se préparer au pire. Les solutions de sécurité standard d’aujourd’hui ne sont pas de taille à arrêter les ransomware d’aujourd’hui qui peuvent infiltrer les organisations de diverses manières. La réduction du risque d’infections requiert une approche sur plusieurs niveaux plutôt qu’une solution unique.
Les entreprises ont besoin d’une stratégie de continuité. Il n’existe pas de solution de prévention infaillible contre le ransomware, même si les antivirus, un périmètre de protection et la gestion des correctifs sont essentiels. Les entreprises doivent viser à maintenir leurs opérations en dépit d’une attaque par ransomware. Une solution de continuité et de reprise de l’activité qui soit robuste, rapide et fiable fait partie intégrante de cette stratégie. Comme le ransomware est conçu pour se propager à travers les réseaux et les applications SaaS, il est également crucial de disposer de solutions de sauvegarde aux points d’extrémité et SaaS pour assurer des restaurations rapides.
Les entreprises ont besoin d’un professionnel spécialisé dans la cybersécurité pour garantir la continuité de l’activité. Les PME préfèrent souvent se fier à un de leurs employés « pointu » en informatique pour gérer l’assistance IT plutôt que de s’adresser à un spécialiste. Si une société n’a pas les moyens d’employer du personnel IT 24h/24 et 7j/7 pour la surveillance de la cybersécurité, elle devrait faire appel à un prestataire d’infogérance (MSP) qui dispose du temps et des ressources nécessaires pour anticiper et protéger l’entreprise des toutes dernières menaces en matière de cybersécurité.
